Vulnerabilità dell’app Zoom consentirebbe ai siti Web di controllare la webcam del Mac | AGGIORNATO

Sembra che una nuova vulnerabilità abbia colpito l’app di videoconferenza Zoom su Mac. In un post su Medium, Jonathan Leitschuh, ricercatore di sicurezza, ha delineato il problema che potrebbe consentire ai siti Web di prendere il controllo della webcam del Mac.

Quando installate l’app Zoom sul vostro Mac, viene configurato anche un server web, che “accetta richieste che i normali browser non farebbero“, come mostrato nel dettaglio da The Verge. Questo server Web sembra essere la causa di questa vulnerabilità.

In sostanza, il server Web è in esecuzione come processo in background. Pertanto, qualsiasi sito web è in grado di “unire forzatamente un utente a una chiamata Zoom, con la videocamera attivata, senza il permesso dell’utente“. Basterà semplicemente cliccare su un link, e partecipereremo automaticamente ad una chiamata in conferenza Zoom con la videocamera abilitata, anche se non abbiamo disinstallato l’app. Uno degli aspetti più sconvolgenti di questa vulnerabilità è proprio il fatto che funziona anche se disinstalliamo l’app Zoom.

Leitschuh ha rivelato per la prima volta la vulnerabilità a Zoom nello scorso mese di marzo. La vulnerabilità sembra essere stata risolta successivamente, per poi tornare di nuovo questo mese.

Quindi come possiamo proteggergi? Il modo più semplice è entrare nella finestra delle impostazioni del’app e abilitare l’impostazione “Disattiva il video quando si partecipa a una riunione“. È inoltre possibile eseguire una serie di comandi da Terminale per disinstallare completamente il server Web e tali comandi si trovano nella parte inferiore del post su Medium di Leitschuh.

Ulteriori dettagli tecnici e link sono disponibili su Medium.


Aggiornamento 10/07: Zoom ha risposto in merito al problema e ha già reso disponibile un aggiornamento per risolvere il problema:

La patch del 9 luglio dell’app Zoom per dispositivi Mac è ora disponibile. È possibile visualizzare una finestra popup in Zoom per aggiornare il client, scaricarlo da zoom.us/download o controllare gli aggiornamenti aprendo la finestra dell’app Zoom, facendo clic su zoom.us nell’angolo in alto a sinistra dello schermo, quindi facendo clic su Controlla gli aggiornamenti.

L’azienda ha pubblicato anche un post completo sul blog, ma vi riportiamo un breve frammento, in cui la società sottolinea che è possibile disabilitare il client Zoom dall’attivazione automatica della webcam quando si partecipa a una videoconferenza:

Questa settimana, un ricercatore ha pubblicato un articolo che ha sollevato dubbi sulla nostra esperienza video. La sua preoccupazione è che se un utente malintenzionato riesce ad ingannare un utente Zoom nel fare clic su un collegamento Web con l’URL dell’ID riunione dell’hacker, l’utente destinatario potrebbe partecipare inconsapevolmente alla riunione Zoom dell’aggressore. Se l’utente non ha configurato il proprio client Zoom per disabilitare il video al momento dell’iscrizione alle riunioni, l’utente malintenzionato potrebbe visualizzare il feed video dell’utente.

Alla luce di questa preoccupazione, abbiamo deciso di offrire ai nostri utenti un controllo ancora maggiore delle loro impostazioni video. Come parte della nostra prossima versione di luglio 2019, Zoom applicherà e salverà le preferenze video dell’utente dalla prima riunione Zoom a tutte le future riunioni Zoom. Gli utenti e gli amministratori di sistema possono anche configurare le impostazioni video dei client per disattivare il video quando si partecipa a una riunione. Questa modifica si applicherà a tutte le piattaforme client.

News